Re: Niebezpieczna dziura w httpd

Autor: Szymon Sokol (szymon_at_uci.agh.edu.pl)
Data: Mon 27 Feb 1995 - 17:39:44 MET

• Następna wiadomość: Tomasz Kokowski: "Konferencja POLMAN'95"
• Poprzednia wiadomość: Jarek Lis: "Re: Internet Society przeciwko restrykcjom"
• W odpowiedzi na: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Następna w wątku: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Odpowiedz: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Krzysztof Mlynarski (krzysio_at_hebe.umcs.lublin.pl) wrote:

: > W 1988 blizniaczy blad w programie finger (podajacym podstawowa
: > informacje o uzytkowniku komputera) zostal wykorzystany w slynnym
: > Internet Worm (Robak Internetu). Samoreplikujacy sie ``robak'',
: > uwolniony przez autora -- Roberta Morrisa, studenta Cornel University, w
: > ciagu kilkudziesieciu godzin calkowicie sparalizowal siec w USA.
: > ``Infekcja'' objela wtedy lacznie 6000 komputerow, a straty wyniosly 96
: > milionow dolarow.

: Nie wydaje mi sie, aby wpisywanie smieci na stos httpd moglo byc uzyte do
: np. rozsylania kopiujacych sie e-mail'i... istnieja prostsze metody
: tworzenia tego typu poczty nie wykorzystujace zawilych praktyk ze stosem
: programu.

Co ma piernik do wiatraka? Internet Worm nie mial nic wspolnego z kopiowaniem
sie poczty (moze Ci sie pomylilo ze slawnym "Christmas Tree"?). A rzeczywiscie
wykorzystywal dziure w fingerze (a takze w sendmailu, a takze zawieral rodzaj
prymitywnego Cracka i uzywal .rhosts) - to wszystko jest napisane w literaturze
i dostepne online. Mechanizm bledu w fingerd byl *dokladnie* ten sam co teraz
w httpd - podajac demonowi string dluzszy niz bufor na ten string przeznaczony
mozna bylo nadpisac stos, wlozyc zamiast wlasciwego adresu z procedury adres
wskazujacy na dalsza czesc naszego stringu, a w niej zawrzec kawalek kodu
robiacego co sie nam zywnie podoba. Np. "bootstrap loader" worma, co wlasnie
zrobil RTM. Nie potrzeba nawet wykonywac zadnych komend shella - znacznie
prosciej zrobic:
FILE *f=fopen(".rhosts","w"); fprintf(f,"moj.host.edu ja\n"); fclose(f);
i zalatwione... Taki kawalek kodu jak powyzej to gora kilkaset bajtow
nawet na najbardziej rozrzutnym RISCu.

Do Andrzeja Gorbiela mam natomiast uwage: jesli chciec byc scislym, to autor
worma to Robert T. Morris Jr - w odroznieniu od seniora, rowniez informatyka.
A Cornell Univ. pisze sie przez 2 l.

: > Dopiero od tego zdarzenia sprawa bezpieczenstwa Internetu na powaznie
: > zainteresowaly sie agencje rzadowe. Aby w przyszlosci zapobiec podobnym
: > incydentom, powstala wtedy CERT (Computer Emergency Response Team).

: Zdaje sie, ze powyzszy tekst naprawde napisali dziennikarze :)))

Istotnie. Ale jak to wydedukowales, drogi Sherlocku?
Pelen podziwu,

--
                       Szymon Sokol -- Network Manager
U    U M     M M     M University of Mining and Metallurgy, Computer Center
U    U MM   MM MM   MM ave. Mickiewicza 30, 30-059 Krakow, POLAND
U    U M M M M M M M M TEL. +48 12 338100 EXT. 2885  FAX +48 12 338907
 UUUU  M  M  M M  M  M WWW page: http://www.uci.agh.edu.pl/~szymon/

• Następna wiadomość: Tomasz Kokowski: "Konferencja POLMAN'95"
• Poprzednia wiadomość: Jarek Lis: "Re: Internet Society przeciwko restrykcjom"
• W odpowiedzi na: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Następna w wątku: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Odpowiedz: Krzysztof Mlynarski: "Re: Niebezpieczna dziura w httpd"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:49:55 MET DST